सरकारी संस्थाओं की साइबर सुरक्षा में तकनीकी और नीतिगत खामियों को दुरुस्त करने के एक महत्त्वपूर्ण कदम के तहत भारतीय कंप्यूटर आपात प्रतिक्रिया दल (सर्ट-इन) ने सभी सरकारी संस्थाओं के लिए सूचना सुरक्षा कार्यप्रणाली पर शुक्रवार को सख्त दिशानिर्देश जारी किए।
इन दिशानिर्देशों के मुताबिक निजी संस्थाओं की तरह ही अब सरकारी संस्थाओं को भी साइबर सुरक्षा में खामियों से जुड़ी घटनाओं का अंदेशा होने के छह घंटे के भीतर ही अनिवार्य रूप से सर्ट-इन को साइबर सुरक्षा में सेंध की जानकारी देनी होगी। अगर उन्हें इस तरह के घटनाक्रम की जानकारी किसी तीसरे पक्ष से भी मिलती है तब भी उन्हें इसकी जानकारी देनी होगी। इस तरह के घटनाक्रम की सूचना महत्त्वपूर्ण साझेदारों जैसे कि विभिन्न क्षेत्रों के सर्ट और नियामक के साथ साझा की जानी चाहिए।
सरकारी कार्यालयों को अपने पूरे साइबर बुनियादी ढांचा की आंतरिक और बाहरी स्तर पर ऑडिट कराने की जरूरत होगी और ऑडिट के नतीजे के आधार पर ही उपयुक्त सुरक्षा नियंत्रण के इंतजाम भी करने होंगे। इसके अलावा कम से कम छह महीने में आंतरिक सूचना सुरक्षा ऑडिट भी अवश्य करानी होगी जबकि तीसरे पक्ष से सुरक्षा ऑडिट कम से कम साल के एक बार कराना होगा। बाहरी स्तर के ऑडिट के मकसद से सीईआरटी-इन के पैनल वाले ऑडिटर की सेवाएं ली जा सकती हैं।
दिशानिर्देशों के मुताबिक सभी सरकारी संगठनों को आईटी सुरक्षा के लिए एक मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) नियुक्त करने की जरूरत होगी। इस अधिकारी के साथ एक विशेष साइबर सुरक्षा टीम होगी जो आईटी परिचालन और इन्फ्रास्ट्रक्चर टीम से अलग होगी।
Also read: साइबर सिक्योरिटी के क्षेत्र में भारत में खाली पड़ी हैं 40 हजार नौकरियां: रिपोर्ट
कोविड-19 टीके के मंच कोविन द्वारा संग्रह किए गए निजी डेटा के कथित रूप से लीक हो जाने के बाद यह कदम उठाने की घोषणा की गई है। इसके अलावा पिछले साल रेलवे और अखिल भारतीय आर्युविज्ञान संस्थान (एम्स) जैसे कई महत्त्वपूर्ण सरकारी विभागों के भी डेटा में सेंध लगाई गई और इन्हें साइबर हमले का शिकार होना पड़ा। सर्ट-इन ने पिछले साल नवंबर तक 12,67,564 साइबर हमले का सामना किया।
सर्ट-इन की एक नियम पुस्तिका के मुताबिक, ‘साइबर हमले में सरकारी संस्थाओं के आईसीटी ढांचा को तरजीह के साथ लक्षित किया जाता है ऐसे में कंप्यूटर, सर्वर, ऐप्लिकेशन, इलेक्ट्रॉनिक सिस्टम, नेटवर्क और डिजिटल हमलों से डेटा को बचाने के लिए बेहतर साइबर सुरक्षा वाली कार्यप्रणाली पर अमल करने की जिम्मेदारी भी आईसीटी परिसंपत्ति का स्वामित्व रखने वाली संस्थाएं मसलन सरकारी संस्था के पास होता है।’
सरकारी कर्मचारी अब नियमित कार्य के लिए कंप्यूटर चलाने के लिए केवल एक मानक उपयोगकर्ता (गैर-प्रशासनिक) खाते का इस्तेमाल कर सकते हैं और एडमिन एक्सेस के लिए केवल उन्हीं उपयोगकर्ताओं को मंजूरी दी जाएगी जिन्हें सीआईएसओ से मंजूरी होगी।
कर्मचारी को काम न करने की स्थिति में 15 मिनट में ही अपने अकाउंट को लॉग आउट अवश्य करना चाहिए और इसे दोबारा पासवर्ड डालकर ही एक्टिवेट करना चाहिए। अस्थायी कर्मचारी, अनुबंध वाले और बाहरी पेशेवरों सहित सभी सरकारी कर्मचारियों को इन दिशानिर्देशों का पालन सख्ती से करना होगा। दिशानिर्देशों का पालन न करने पर संबंधित सीआईएसओ या मंत्रालय या विभाग के प्रमुख कार्रवाई कर सकते हैं।
इसके अलावा सरकारी संस्थाओं को अधिकृत हार्डवेयर और सॉफ्टवेयर इन्वेंट्री तैयार करनी होगी और इसके साथ ही अनधिकृत उपकरण और सॉफ्टवेयर की मौजूदगी की पहचान करने के लिए स्वचालित स्कैनिंग वाली प्रणाली का इंतजाम भी करना होगा। इसके अलावा संगठन के संबंधित नेटवर्क एडमिनिस्ट्रेटर द्वारा अधिकृत निजी उपकरणों का इस्तेमाल ही किया जा सकेगा।
Also read: साइबर अपराधी लगातार बढ़ा रहे खतरे, बीते साल भारत में 31 फीसदी बढ़े मालवेयर हमले: रिपोर्ट
इलेक्ट्रॉनिकी एवं सूचना प्रौद्योगिकी मंत्री राजीव चंद्रशेखर ने कहा, ‘हम क्षमता, बेहतर प्रणाली, मानव संसाधन और जागरूकता पर जोर देकर साइबर सुरक्षा का विस्तार कर रहे हैं और इसमें तेजी से आगे बढ़ रहे हैं। ये दिशानिर्देश हमारे व्यापक साइबर सुरक्षा फ्रेमवर्क का एक अहम हिस्सा हैं और इन्हें प्रधानमंत्री नरेंद्र मोदी के नेतृत्व में तैयार किया जा रहा है क्योंकि भारत अब 1 लाख करोड़ डॉलर वाली डिजिटल अर्थव्यवस्था की ओर तेजी से कदम बढ़ा रही है।’
सीआईएसओ की टीम नेटवर्क की सुरक्षा की निगरानी करेगी और यह आईटी सुरक्षा नीतियों को तैयार करने, अमल करने के साथ ही उसकी समीक्षा करने और साइबर सुरक्षा में सेंध लगने की घटनाओं पर सुरक्षा चेतावनी के प्रति प्रतिक्रिया देगी। इसके अलावा इसे सरकारी संस्थाओं के बीच साइबर सुरक्षा जागरूकता अभियान भी शुरू करने की जरूरत होगी और सर्ट-इन और अन्य सरकारी और उद्योग से जुड़े साइबर सुरक्षा संगठनों के साथ संवाद करना होगा।
